-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Buongiorno a tutti, sto preparando un cluster di firewall per poter avere alta affidabilita' se cade il principale o se cade la linea principale. lo scenario e' il seguente macchina sangiorgio firewall principale collegato (prossimamente) a una hdsl 8 Mb di fastweb eth0 pubblica eth1 privata macchina perseo firewall secondario collegata (prossimamente) a una adsl telvia eth0 pubblica eth1 privata la parte di cluster l'ho fatta con ucarp e ho creato su ambedue le macchine la eth1:0 con indirizzo 192.168.2.241 che e' l'indirizzo gateway, cosi funziona ma ovviamente se cade sangiorgio tutte le connessioni che ho in essere al momento cadono. Ho trovato googlando conntrackd http://people.netfilter.org/pablo/conntrackd/ che si trova gia pacchettizato per debian qui deb http://debian.rfc2324.org/debian sarge conntrackd deb-src http://debian.rfc2324.org/debian sarge conntrackd Leggendo la parte di install sul sito ho visto che esistono degli esempi in /usr/share/doc/conntrackd/examples e il piu' calzante al mio caso e' quello sync http://people.netfilter.org/pablo/conntrackd/install.html anche se lui virtualizza 2 indirizzi quindi basta commentare la parte relativa al secondo indirizzo. Quello che invece non ho capito e' nel file di configurazione di conntrackd la parte chiamata IP of dedicated link cos'e? a cosa serve? come funziona? In sostanza io ho bisogno di replicare l'indirizzo 192.168.2.241 Di seguito copio il file conntracd.conf relativa al nodo 1 (Master) Qualcuno puo' spiegarmi per cortesia? Grazie in anticipo e cordialita'. # # Synchronizer settings # Sync { # # If a conntrack entry is not modified in <= 15 seconds, then # a message is broadcasted. This mechanism is used to # resynchronize nodes that just joined the multicast group # RefreshTime 15 # # Multicast IP and interface where messages are # broadcasted (dedicated link). IMPORTANT: Make sure # that iptables accepts traffic for destination # 225.0.0.50, eg: # # iptables -I INPUT -d 225.0.0.50 -j ACCEPT # iptables -I OUTPUT -d 225.0.0.50 -j ACCEPT # Multicast { IPv4_address 225.0.0.50 IPv4_interface 192.168.100.100 # IP of dedicated link Group 3780 Backlog 20 } } # # General settings # General { # # Number of buckets in the caches: hash table # HashSize 8192 # # Maximum number of conntracks: # it must be >= $ cat /proc/sys/net/ipv4/netfilter/ip_conntrack_max # HashLimit 65535 # # Logfile # LogFile /var/log/conntrackd.log # # Lockfile # LockFile /var/lock/conntrack.lock # # Unix socket configuration # UNIX { Path /tmp/sync.sock Backlog 20 } # # Netlink socket buffer size # SocketBufferSize 262142 # # Increase the socket buffer up to maximum if required # SocketBufferSizeMaxGrown 655355 } # # Ignore traffic for a certain set of IP's: Usually # all the IP assigned to the firewall since local # traffic must be ignored, just forwarded connections # are worth to replicate # IgnoreTrafficFor { IPv4_address 127.0.0.1 # loopback IPv4_address 192.168.0.1 IPv4_address 192.168.1.1 IPv4_address 192.168.100.100 # dedicated link ip IPv4_address 192.168.0.100 # virtual IP 1 IPv4_address 192.168.1.100 # virtual IP 2 } # # Do not replicate certain protocol traffic # IgnoreProtocol { UDP ICMP IGMP VRRP # numeric numbers also valid } # # Strip NAT traffic # StripNAT - -- Mario Vittorio Guenzi E-mail jclark@xxxxxxxxxx Si vis pacem, para bellum -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFFWurrm6qs1ZkNrIoRAgo2AJ9wDDwBi7UAkQBX4ve5VbiB4tYZCgCggU3c 0tfuNf6slHZJSV4L2jMdAQs= =Mg/E -----END PGP SIGNATURE----- -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx